Как определить и исправить вредоносное ПО VPNFilter прямо сейчас

Не все вредоносные программы одинаковы. Одним из доказательств этого является существование вредоносного ПО VPNFilter, нового вида вредоносных программ для маршрутизаторов, обладающих разрушительными свойствами. Одной из его отличительных характеристик является то, что он может пережить перезагрузку, в отличие от большинства других угроз Интернета вещей (IoT).

Пусть эта статья поможет вам идентифицировать вредоносное ПО VPNFilter, а также список его целей. Мы также научим вас, как в первую очередь предотвратить его разрушение в вашей системе.

Что такое вредоносное ПО VPNFilter?

Думайте о VPNFilter как о деструктивном вредоносном ПО, которое угрожает маршрутизаторам, устройствам IoT и даже сетевым хранилищам (NAS). Это сложный модульный вариант вредоносного ПО, который в основном нацелен на сетевые устройства разных производителей.

Первоначально вредоносное ПО было обнаружено на сетевых устройствах Linksys, NETGEAR, MikroTik и TP-Link. Он был обнаружен и в устройствах QNAP NAS. На сегодняшний день в 54 странах зарегистрировано около 500 000 случаев заражения, что свидетельствует о его огромном охвате и присутствии.

Cisco Talos, команда, разоблачившая VPNFilter, обеспечивает обширный пост в блоге о вредоносном ПО и технических деталях, связанных с ним. Судя по всему, сетевое оборудование ASUS, D-Link, Huawei, UPVEL, Ubiqiuiti и ZTE имеет признаки заражения.

В отличие от большинства других вредоносных программ, нацеленных на Интернет вещей, VPNFilter трудно устранить, поскольку он сохраняется даже после перезагрузки системы. Уязвимыми для его атак являются устройства, которые используют свои учетные данные для входа по умолчанию, или устройства с известными уязвимостями нулевого дня, для которых еще не было обновлений прошивки.

Устройства, на которые, как известно, влияет вредоносное ПО VPNFilter

Известно, что целью этого вредоносного ПО являются как корпоративные, так и небольшие офисные или домашние маршрутизаторы. Обратите внимание на следующие марки и модели маршрутизаторов:

  • Асус РТ-AC66U
  • Асус РТ-N10
  • Асус РТ-N10E
  • Асус РТ-N10U
  • Асус РТ-N56U
  • Асус РТ-N66U
  • D-Link DES-1210-08P
  • D-Link DIR-300
  • D-Link DIR-300A
  • D-Link DSR-250N
  • D-Link DSR-500N
  • D-Link DSR-1000
  • D-Link DSR-1000N
  • Линксис E1200
  • Линксис E2500
  • Линксис E3000
  • Линксис E3200
  • Линксис E4200
  • Линксис RV082
  • Хуавей ХГ8245
  • Линксис WRVS4400N
  • Нетгир DG834
  • Netgear DGN1000
  • Нетгир ДГН2200
  • Нетгир ДГН3500
  • Нетгир FVS318N
  • Нетгир MBRN3000
  • Нетгир R6400
  • Нетгир Р7000
  • Нетгир Р8000
  • Нетгир WNR1000
  • Нетгир WNR2000
  • Нетгир WNR2200
  • Нетгир WNR4000
  • Нетгир WNDR3700
  • Нетгир WNDR4000
  • Нетгир WNDR4300
  • Netgear WNDR4300-TN
  • Нетгир UTM50
  • МикроТик CCR1009
  • МикроТик CCR1016
  • МикроТик CCR1036
  • МикроТик CCR1072
  • МикроТик CRS109
  • МикроТик CRS112
  • МикроТик CRS125
  • МикроТик RB411
  • МикроТик RB450
  • МикроТик RB750
  • МикроТик RB911
  • МикроТик RB921
  • МикроТик RB941
  • МикроТик RB951
  • МикроТик RB952
  • МикроТик RB960
  • МикроТик RB962
  • МикроТик RB1100
  • МикроТик RB1200
  • МикроТик РБ2011
  • МикроТик RB3011
  • MikroTik RB Groove
  • МикроТик РБ Омнитик
  • МикроТик STX5
  • TP-Link R600VPN
  • TP-Link TL-WR741ND
  • TP-Link TL-WR841N
  • Ubiquiti NSM2
  • Ubiquiti PBE M5
  • Устройства Upvel — неизвестные модели
  • Устройства ZTE ZXHN H108N
  • QNAP TS251
  • QNAP TS439 Pro
  • Другие устройства QNAP NAS с программным обеспечением QTS

Общим знаменателем среди большинства целевых устройств является использование ими учетных данных по умолчанию. У них также есть известные эксплойты, особенно для более старых версий.

Что вредоносное ПО VPNFilter делает с зараженными устройствами?

VPNFilter работает, чтобы нанести изнурительный ущерб затронутым устройствам, а также служит методом сбора данных. Он работает в три этапа:

Этап 1

Это отмечает установку и поддержание постоянного присутствия на целевом устройстве. Вредоносное ПО свяжется с сервером управления и контроля (C&C), чтобы загрузить дополнительные модули и дождаться инструкций. На этом этапе имеется несколько встроенных резервных копий для обнаружения командных серверов этапа 2 на случай, если во время развертывания угрозы произойдет изменение инфраструктуры. Этап 1 VPNFilter выдерживает перезагрузку.

Этап 2

Это основная полезная нагрузка. Хотя он не может сохраняться после перезагрузки, у него больше возможностей. Он может собирать файлы, выполнять команды, выполнять эксфильтрацию данных и управление устройствами. Продолжая разрушительное воздействие, вредоносное ПО может «заблокировать» устройство после получения команды от злоумышленников. Это осуществляется путем перезаписи части прошивки устройства и последующей перезагрузки. Преступные действия делают устройство непригодным для использования.

Этап 3

Несколько известных модулей этого существуют и действуют как плагины для Этапа 2. Они включают в себя анализатор пакетов для отслеживания трафика, проходящего через устройство, что позволяет украсть учетные данные веб-сайта и отслеживать протоколы Modbus SCADA. Другой модуль позволяет Stage 2 безопасно обмениваться данными через Tor. Согласно расследованию Cisco Talos, один модуль предоставляет вредоносный контент для трафика, проходящего через устройство. Таким образом, злоумышленники могут дополнительно повлиять на подключенные устройства.

6 июня были выставлены еще два модуля Stage 3. Первый из них называется «ssler», и он может перехватывать весь трафик, проходящий через устройство, используя порт 80. Он позволяет злоумышленникам просматривать веб-трафик и перехватывать его для выполнения атак «человек посередине». Например, он может менять HTTPS-запросы на HTTP-запросы, отправляя якобы зашифрованные данные небезопасно. Второй называется «dstr» и включает в себя команду kill для любого модуля Stage 2, в котором отсутствует эта функция. После выполнения он удалит все следы вредоносного ПО, прежде чем оно заблокирует устройство.

Вот еще семь модулей Этапа 3, представленных 26 сентября:

  • htpx — работает так же, как ssler, перенаправляя и проверяя весь HTTP-трафик, проходящий через зараженное устройство, чтобы идентифицировать и регистрировать любые исполняемые файлы Windows. Он может превращать исполняемые файлы в троянские программы при прохождении через зараженные маршрутизаторы, что позволяет злоумышленникам устанавливать вредоносное ПО на различные машины, подключенные к одной сети.
  • ndbr — считается многофункциональным инструментом SSH.
  • nm — этот модуль представляет собой сетевое картографическое оружие для сканирования локальной подсети.
  • netfilter — эта утилита отказа в обслуживании может блокировать доступ к некоторым зашифрованным приложениям.
  • перенаправление портов — перенаправляет сетевой трафик в инфраструктуру, определенную злоумышленниками.
  • socks5proxy — позволяет установить прокси-сервер SOCKS5 на уязвимых устройствах.

Происхождение VPNFilter раскрыто

Это вредоносное ПО, вероятно, является работой хакерской организации, спонсируемой государством. Первоначальные заражения в первую очередь ощущались в Украине, что легко приписали хакерской группе Fancy Bear и группам, поддерживаемым Россией.

Это, однако, иллюстрирует сложную природу VPNFilter. Это не может быть связано с четким происхождением и конкретной хакерской группой, и кто-то еще не сделал шаг вперед, чтобы взять на себя ответственность за это. Предполагается, что спонсором является государство, поскольку SCADA, наряду с другими протоколами промышленных систем, имеет всеобъемлющие правила и цели для вредоносных программ.

Однако, если вы спросите ФБР, VPNFilter — детище Fancy Bear. Еще в мае 2018 года агентство захватило домен ToKnowAll.com, который, как считается, сыграл важную роль в установке и управлении этапами 2 и 3 VPNFilter. Захват помог остановить распространение вредоносного ПО, но не смог устранить основной источник.

В своем объявлении от 25 мая ФБР настоятельно просит пользователей перезагрузить свои домашние Wi-Fi-маршрутизаторы, чтобы остановить крупную атаку вредоносного ПО из-за рубежа. В то время агентство выявило сотни тысяч иностранных киберпреступников, взломавших небольшие офисные и домашние Wi-Fi-маршрутизаторы, а также другие сетевые устройства.

Я всего лишь обычный пользователь. Что означает для меня атака VPNFilter?

Хорошей новостью является то, что ваш маршрутизатор вряд ли содержит вредоносное ПО, если вы проверили список маршрутизаторов VPNFilter, который мы предоставили выше. Но всегда лучше ошибаться в сторону осторожности. Symantec, например, запускает проверку VPNFilter, чтобы вы могли проверить, затронуты вы или нет. Запуск проверки занимает всего несколько секунд.

Вот в чем дело. Что, если вы действительно заражены? Изучите эти шаги:

  • Сбросьте настройки маршрутизатора. Затем снова запустите проверку VPNFilter.
  • Сбросьте роутер к заводским настройкам.
  • Рассмотрите возможность отключения любых параметров удаленного управления на вашем устройстве.
  • Скачайте самую последнюю версию прошивки для вашего роутера. Завершите чистую установку микропрограммы, в идеале без подключения маршрутизатора к Интернету во время процесса.
  • Выполните полное сканирование системы на вашем компьютере или устройстве, которое было подключено к зараженному маршрутизатору. Не забудьте использовать надежный Инструмент оптимизатора ПК работать вместе с вашим доверенный сканер вредоносных программ.
  • Защитите свои соединения. Защитите себя с помощью качественный платный VPN с послужным списком первоклассной онлайн-конфиденциальности и безопасности.
  • Выработайте привычку изменять учетные данные для входа по умолчанию на маршрутизаторе, а также на других устройствах IoT или NAS.
  • Установите и правильно настройте брандмауэр, чтобы защитить вашу сеть от нежелательных вещей.
  • Защитите свои устройства надежными уникальными паролями.
  • Включить шифрование.

Если ваш маршрутизатор потенциально затронут, рекомендуется проверить на веб-сайте производителя любую новую информацию и шаги, которые необходимо предпринять для защиты ваших устройств. Это немедленный шаг, так как вся ваша информация проходит через ваш маршрутизатор. Когда маршрутизатор скомпрометирован, на карту поставлены конфиденциальность и безопасность ваших устройств.

Резюме

Вредоносная программа VPNFilter также может быть одной из самых сильных и неуничтожимых угроз для корпоративных и небольших офисов или домашних маршрутизаторов в новейшей истории. Первоначально он был обнаружен на сетевых устройствах Linksys, NETGEAR, MikroTik и TP-Link, а также на устройствах QNAP NAS. Вы можете найти список затронутых маршрутизаторов выше.

VPNFilter нельзя игнорировать после того, как было инициировано около 500 000 заражений в 54 странах. Он работает в три этапа и выводит маршрутизаторы из строя, собирает информацию, проходящую через маршрутизаторы, и даже блокирует сетевой трафик. Обнаружение, а также анализ его сетевой активности остается сложной задачей.

В этой статье мы описали способы защиты от вредоносных программ и шаги, которые вы можете предпринять, если ваш маршрутизатор был скомпрометирован. Последствия ужасны, поэтому вам никогда не следует сидеть над важной задачей проверки ваших устройств.

Продолжить чтение

Похожие записи

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *